Știrile săptămânii din cybersecurity (28.09.2023)
Luna europeană a securității cibernetice (European Cyber Security Month) este un proiect la nivel european, coordonat de Agenția UE pentru Securitate Cibernetică (ENISA) și sprijinit de Comisia Europeană și de statele membre ale UE, care va găzdui evenimente în întreaga Europă pe parcursul lunii octombrie. Directoratul Național de Securitate Cibernetică (DNSC) este parte a proiectului-pilot ECSM și coordonator național al campaniei de conștientizare încă de la debutul proiectului, din 2012.
Această campanie va atrage atenția utilizatorilor de toate vârstele asupra diferitelor tehnici de inginerie socială utilizate de atacatori împotriva lor și le va permite să fie prudenți. Activitățile și informațiile vor fi furnizate pentru a-i ajuta să se familiarizeze cu diferitele moduri în care pot fi păcăliți de infractorii cibernetici. Ei vor învăța, de asemenea, cum să identifice și să se ferească de potențiale escrocherii.
Apple corectează trei noi vulnerabilități de tip zero-day
Apple a lansat actualizări de securitate de urgență pentru a remedia trei noi vulnerabilități de tip zeroday exploatate în atacurile care vizează utilizatorii de iPhone și Mac, identificate prin CVE-2023-41991, CVE-2023-41993, ambele în motorul de browser WebKit și CVE-2023-41992 în Kernel Framework.
Primele două vulnerabilități permit atacatorilor să ocolească validarea semnăturii folosind aplicații malițioase sau să obțină execuția arbitrară a codului prin intermediul paginilor web create în mod malițios, în timp ce a treia vulnerabilitate poate fi exploatată de atacatori locali pentru escaladarea privilegiilor.
Dezvăluirea vine la două săptămâni după ce Apple a remediat alte două vulnerabilități de tip zero-day, respectiv CVE-2023-41061 și CVE-2023-41064, iar cele trei noi erori sunt remediate în macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, watchOS 9.6.3/10.0.1 și Safari, versiunea 16.6.1.
Anul acesta compania a remediat un total de 16 vulnerabilități de tip zero day.
Sandman APT vizează companiile de telecomunicații cu un set de instrumente LuaJIT
O nouă grupare de criminalitate cibernetică, Sandman, a fost observată de cercetătorii SentinelLabs și QGroup GmbH vizând furnizorii de servicii de telecomunicații din Orientul Mijlociu, Europa de Vest și Asia de Sud cu un malware modular de furt de informații numit LuaDream ce nu pare să aibă legătură cu niciun alt atacator cunoscut.
Conform cercetătorilor, programul malware este un backdoor în dezvoltare activă, aceștia văzând semne de jurnale și funcții de testare încă din iunie 2022 și este folosit pentru a colecta date și a gestiona pluginuri specifice primite de la serverul C2 și executate local în rețeaua compromisă.
LuaDream cuprinde 34 de componente, cu 13 componente de bază și 21 de suport, care utilizează codul de octet LuaJIT și API-ul Windows prin biblioteca ffi folosind legături în limbajul C.
Raportul publicat de cercetători cuprinde și indicatorii de compromitere.
Deadglyph, un malware modular folosit în atacurile ce vizează agențiile guvernamentale
Cercetătorii ESET au descoperit un backdoor cu o arhitectură neobișnuită, nedocumentat anterior, numit Deadglyph, utilizat de gruparea de criminalitate cibernetică Stealth Falcon într-o campanie de spionaj cibernetic îndreptată împotriva unei agenții guvernamentale din Orientul Mijlociu.
”Deadglyph prezintă o serie de mecanisme de contra-detecție, inclusiv monitorizarea continuă a proceselor de sistem și implementarea modelelor de rețea randomizate. În plus, backdoor-ul este capabil să se dezinstaleze singur pentru a minimiza probabilitatea detectării în anumite cazuri.”, se arată în raportul ESET.
Gruparea Stealth Falcon, cunoscută și sub denumirile FruityArmor sau Project Raven, este un atacator din Emiratele Arabe Unite, sponsorizată de stat și cunoscută pentru că vizează, de aproximativ un deceniu, activiști, jurnaliști și disidenți folosind momeli spear-phishing.
Gruparea a fost legată de exploatarea vulnerabilităților Windows de tip zero-day, cum ar fi CVE-2018-8611 sau CVE-2019-0797, dar și de alte vulnerabilități de acest tip, după cum se arată într-un raport Mandiant din aprilie 2020.
Cercetătorii ESET nu dețin informații detaliate cu privire la infecția inițială din campania de spionaj identificată.
Incidentul cibernetic de la National Student Clearinghouse afectează 890 de școli
National Student Clearinghouse (NSC), o organizație din California, a dezvăluit că un atac cibernetic desfășurat pe 30 mai de către gruparea de ransomware Cl0p care a obținut acces la rețelele sale exploatând vulnerabilitatea MoveIT, a afectat 890 de școli care folosesc serviciile sale.
O scrisoare de notificare a incidentului depusă de NSC la Oficiul Procurorului General din California dezvăluie că atacatorii Cl0p au furat fișiere care conțineau o gamă largă de informații de identificare personală (PII), documentele furate incluzând numele, datele de naștere, informațiile de contact, numerele de securitate socială, numerele de identificare ale elevilor și unele înregistrări legate de școală, cum ar fi dosarele de înscriere sau înregistrările diplomelor.
NSC oferă servicii de raportare educațională, schimb de date, verificare și cercetare pentru aproximativ 22.000 de licee și 3.600 de colegii și universități, respectiv pentru 97% dintre studenții din unitățile școlare publice și private.
Gruparea infracțională Cl0p este responsabilă pentru atacurile în masă ce au început pe 27 mai 2023 și au exploatat o vulnerabilitate de tip zero-day în platforma securizată de fișiere MOVEit Transfer.
Hackerii exploatează o vulnerabilitate Openfire pentru a cripta serverele
O vulnerabilitate de mare severitate identificată în consola de administrare a serverelor de mesagerie Openfire este exploatată de atacatori pentru criptarea serverelor și pentru implementarea de criptomineri.
Openfire este un server open source bazat pe Java, descărcat de 9 milioane de ori și utilizat pe scară largă pentru comunicații sigure, multiplatformă, iar eroarea identificată, CVE-2023-32315, permite atacatorilor neautentificați să creeze noi conturi de administrator pe serverele vulnerabile.
CVE-2023-32315 afectează toate versiunile Openfire de la 3.10.0 până la 4.6.7 și de la 4.7.0 la 4.7.4 și a fost remediată în versiunile 4.6.8, 4.7.5 și 4.8.0 lansate în mai 2023.
Cercetătorii VulnCheck au raportat că, până la jumătatea lunii august 2023, peste 3.000 de servere Openfire încă rulau o versiune vulnerabilă, iar cercetătorii Dr. Web raportează semne de exploatare activă în prezent.
Deoarece atacatorul nu pare să vizeze doar serverele Openfire, ci orice server web vulnerabil, utilizatorii sunt sfătuiți să aplice toate actualizările de securitate pe măsură ce acestea devin disponibile.
Google a reclasificat și a atribuit scor maxim unei vulnerabilități exploatată activ
O vulnerabilitate de securitate, dezvăluită inițial ca o eroare Chrome identificată prin CVE-2023-4863, a primit un nou indicator, respectiv CVE-2023-5129 și a fost atribuită bibliotecii open source libewebp, folosită pentru a codifica și decoda imaginile în format WebP.
Această vulnerabilitate a fost raportată în comun de SEAR și Citizen Lab miercuri, 6 septembrie 2023 și a fost remediată de Google în mai puțin de o săptămână, însă decizia inițială de a fi etichetată drept o eroare Chrome a provocat confuzie în comunitatea de securitate cibernetică, iar reclasificarea ei are implicații semnificative pentru alte proiecte ce utilizează biblioteca open source libwebp.
CVE-2023-5129 are un rating de severitate maxim, respectiv scor CVSS de 10, este o depășire a memoriei tampon în WebP care afectează versiunile de Google Chrome anterioare 116.5845.187 și le permite atacatorilor să execute scrieri de memorie în afara limitelor utilizând pagini HTML create în mod malițios, ceea ce poate duce la executarea de cod arbitrar și acces neautorizat la informații sensibile.
Reclasificarea CVE-2023-5129 ca vulnerabilitate libwebp are o importanță deosebită, deoarece inițial a trecut neobservată ca potențială amenințare de securitate pentru numeroase proiecte care utilizează libwebp, inclusiv 1Password , Signal , Safari, Mozilla Firefox, Microsoft Edge, Opera și browserele web Android.
ALERTĂ DNSC: Tentative de fraudă promovate prin anunțuri sponsorizate pe rețelele sociale
În ultimele zile, Directoratul Național de Securitate Cibernetică (DNSC) a observat o creștere notabilă a tentativelor de fraudă (phishing), care se propagă prin intermediul unor articole sponsorizate de diverse conturi din cadrul rețelelor sociale.
Infractorii cibernetici folosesc identitatea vizuală a mai multor persoane publice și organizații de presă pentru a păcăli utilizatorii să acceseze link-uri frauduloase, cu scopul de a colecta date personale, date de autentificare sau date financiare de la potențialele victime. Mulți utilizatori au observat că este vorba despre o capcană și au raportat către Directorat astfel de anunțuri false existente în mediul online.
Atacul în masă MOVEit a făcut până acum peste 2000 de victime
În jurul datei de 27 mai, gruparea infracțională Cl0p a lansat o campanie de atac în masă exploatând o vulnerabilitate de tip zero-day în software-ul MOVEit pentru a fura datele stocate pe serverele de transfer de fișiere, iar sute de organizații au început să notifice persoanele ale căror informații de identificare personală ar fi fost afectate de incident.
Experții care urmăresc această campanie au declarat pe 22 septembrie 2023 că aproximativ 2050 de organizații au fost victime, direct sau indirect, ale acestui hack - o creștere bruscă față de săptămâna anterioară, când numărul organizațiilor victimă se ridica la 1190 - iar KonBriefing, o companie germană de consultanță, a estimat luni, 25 septembrie 2023, că între 54 și 59 de milioane de date personale au fost expuse în atac.
Numărul de victime cunoscute a crescut joi, 21 septembrie, când National Student Clearinghouse a notificat biroul procurorului general al statului California că datele legate de aproape 900 de colegii și universități au fost furate de pe serverul său MOVEit.
Coveware, o organizație care se ocupă cu răspunsul la incidente de tip ransomware, estimează că este posibil ca atacatorii Cl0p să fi câștigat între 75 și 100 de milioane de dolari în plăți de răscumpărare doar în primele zile ale campaniei de atac în masă.
Vulnerabilitatea a fost remediată de Progress Software pe 31 mai 2023, când toate furturile de date orchestrate de gruparea Cl0p păreau să se fi încheiat deja.
Programul malware ZenRAT vizează utilizatorii Windows
Potrivit cercetătorilor Proofpoint, a fost dezvoltată o nouă tulpină malware numită ZenRAT care fură informații din sistemele Windows și este distribuită prin pachete false de instalare ale managerului de parole Bitwarden.
ZenRAT este un troian modular de acces la distanță cu capabilități de furt de informații care folosește, printre altele, interogări WMI pentru a colecta informații despre sistem, cum ar fi numele CPU, numele GPU-ului, versiunea sistemului de operare, RAM instalată sau adresa IP, software-ul de securitate, precum și aplicațiile instalate.
Informațiile furate, inclusiv datele browserului și acreditările, sunt trimise înapoi la serverul C2 într-un fișier zip numit Data.zip.
Malware-ul este găzduit pe site-uri web false care pretind că sunt asociate cu Bitwarden, însă procesul de direcționare a traficului către domenii rămâne necunoscut.
Pentru a atenua astfel de amenințări este recomandat ca utilizatorii să descarce software numai din surse de încredere și să se asigure în privința autenticității site-urilor web.
PhilHealth, victima unui atac de tip ransomware
Organizația guvernamentală Philippine Health Insurance Corporation (PhilHealth) a fost victima unui incident cibernetic de tip ransomware revendicat de gruparea de criminalitate cibernetică Medusa care a adăugat compania pe site-ul său de scurgeri de date sâmbătă, 23 septembrie 2023 și a stabilit un termen de 10 zile pentru plata mai multor răscumpărări, inclusiv 100.000 USD pentru prelungirea termenului limită și 300.000 USD pentru predarea cheilor de decriptare și nepublicarea datelor.
Entitatea deținută de guvern oferă un program național de asigurări de sănătate pentru toți cetățenii din Filipine, respectiv 114 milioane de persoane, iar incidentul a determinat PhilHealth să indisponibilizeze mai multe site-uri web și portaluri pe care le deține.
Gruparea infracțională Medusa nu a declarat ce date au fost furate, însă oficialii organizației au asigurat publicul că ”nicio informație personală și nici informații medicale nu au fost compromise sau scurse”.
Incidentul este investigat de către Departamentul pentru Tehnologia Informației și Comunicațiilor (DICT) din Filipine în colaborare cu mai multe agenții, iar subsecretarul DICT, Jeffrey Ian Dy, a declarat că se coordonează cu parteneri internaționali pentru a ajuta la recuperarea din incident.
Conform unui aviz CISA din 2022, atacatorii Medusa funcționează ca un model Ransomware-as-a-Service (RaaS) care oferă afiliaților 60% din răscumpărări și exploatează vulnerabilitățile din Remote Desktop Protocol (RDP) pentru a accesa rețelele victimelor.
SUA și Japonia avertizează că hackerii chinezi instalează backdoor-uri în routerele Cisco
Un aviz comun al FBI, NSA, CISA, NISC și NPA avertizează că o grupare de criminalitate cibernetică sponsorizată de statul chinez, numită BlackTech, a compromis dispozitivele de rețea ale companiilor guvernamentale și ale celor din sectoare precum cel tehnologic, media, telecomunicațiile sau industria de apărare, pentru a instala backdoor-uri personalizate ce îi permit accesul la rețelele corporative.
Raportul avertizează că malware-ul personalizat este uneori semnat folosind certificate furate de semnare a codului, ceea ce face mai dificilă detectarea de către software de securitate, iar prin valorificarea acreditărilor de administrator furate, atacatorii compromit o gamă largă de marci, modele și versiuni de routere, stabilesc persistența și se deplasează lateral în rețea.
”După ce obțin o poziție inițială într-o rețea țintă și obțin acces de administrator la dispozitivele de la marginea rețelei, atacatorii BlackTech modifică adesea firmware-ul pentru a-și ascunde activitatea și a menține în continuare persistența în rețea”, explică agențiile.
Potrivit avizului, hackerii BlackTech au compromis mai multe routere Cisco folosind variante ale unui backdoor de firmware, personalizat, care este activat și dezactivat prin pachete TCP sau UDP special concepute, iar în anumite cazuri, gruparea a fost identificată înlocuind firmware-ul pentru anumite routere Cisco IOS cu firmware malițios.
Avizul îi sfătuiește pe administratorii de sistem să monitorizeze descărcările neautorizate de imagini de bootloader și firmware și reporniri neobișnuite ale dispozitivului care ar putea face parte din încărcarea firmware-ului modificat pe routere.
De asemenea, administratorii de rețea sunt sfătuiți să instaleze toate actualizările de securitate pe măsură ce acestea devin disponibile și să nu expună public consolele de management.
